编者按:作为一名资深专业安全人员,作者对网络安全产业的理解独特而深入。本文很多篇幅讲述了安全运营的趋势,很具启发性,一经公布即广为关注。

作者:杨冀龙

〇、起疯篇

为什么要做网络安全?

酷,好找女朋友!有意义,能帮助人!还能赚钱!

为什么不做网络安全?

累!背锅侠!君不见2019年7月份还累死3人?

工信部 《关于促进网络安全产业发展的指导意见(征求意见稿)》一出来,未来5年推动网安行业2000亿产值,振奋人心,不少朋友问我,机会在哪里?都摩拳擦掌要进入这个行业,这里来帮大家分析下未来的格局。顺势而为,牛都能吹来飞起来;走错路了,入土也没有波澜。

网络安全行业,有传统几个行业可以参考:

1)消防器材

2) 医疗健康

3)保安公司

4)镖行

我们可以,分开来类比一下。

一、消防器材篇

先说消防器材,本质是合规行业,所有建筑物必须按照消防法规布设消防设施设备,设备必须符合消防标准并经过国家部门检验。这类产品有一个特点,就是必须买,但买回去了也几乎从来不使用。

过去20年,网络安全行业基本完全参照合规驱动,国家对政府、国资企业有网络安全建设要求,必须采购网络安全设备,必须接入网络指定地点。所以过去的网络安全企业做的大的都是做合规的,并且做硬件设备,符合公安部标准,有公安部网络安全产品品类资质,企业一但产品获得资质后,剩下的主要工作不是提升产品功能性能,因为99.99%时间产品都不真正使用,而是通过大规模销售降低平均单台成本,在各行各业招投标都是低价中标大环境下,甚至裁掉研究开发人员,只留下生产人员,以进一步降低成本。过去网络安全产业中国400亿产值70%基本都集中在这个方向。

未来随着《网络安全法》和等保2.0相关标准的要求,带来了两个大的变化:

A)未来就不只是政府和国资企业需要部署网络安全产品了,而是几乎所有存放用户数据的企业、主要业务经营在互联网的企业、关系国计民生的关键基础行业、重要信息系统所在单位都必须采购部署网络安全设备;这让客户数量提高了一两倍。

B)未来要求部署的安全产品,远远不止以前要求的网络隔离、防火墙、入侵检测、漏洞扫描、杀毒软件等10来款,高等级企业要符合等级保护条例,至少需要部署几十款安全产品;这让产品数量至少也提高两倍。

两个要素叠加起来,这块产业产值未来就可能轻松突破1000亿。

二、医疗健康篇

医疗健康行业可以分三阶段:

A) 事前行业:保健、体检是一类,但很杂;很少有做大的,知名的也不多;

B) 事中行业:医院救治是一类,很多名气很大,主要看好的医生在哪里,其次是好的设备在哪里;

C) 事后行业:殡葬业,很赚钱,但是是垄断行业;有特殊关系和资质才考虑,不在我们市场经济考虑范围内,但围绕殡葬业的周边产业也是可以考虑的。

传说扁鹊家有3兄弟,扁大善于保健,提前就让人健康了,客人都不生病,完全感受不到他有什么用;

老三擅长尸体的仪容仪表整理,犯人忌讳,大家通常也尽量不找他;

扁鹊每次别人快死了,找上门,他能救治,所以叫神医;扁鹊每次别人送来感恩锦旗,扁鹊都摇摇头:我大哥才是真神医!

网络安全行业,过去有一部分属于医疗健康行业,可能占400亿市场的20%,在这个范畴。

但存在一个很大的问题,如果把网络安全行业,过去的安全设备商比作医疗器材商,有网络安全问题需要求治的企业比作客户的话,以前的主要问题是医疗设备商和病人直接对接了!这导致病人花费了很多冤枉钱,购买了很多医疗器材,却几乎没有解决实际问题。

病人:我头痛。

设备商:买个我的温度计。

病人:好的,40度,咋整,正常不?

设备商:不知道,你上网查查。

病人上网学习2天:好像不正常,网络上说可能肺病。

设备商:买个我的彩超设备。

病人:好的,但这个彩超照片表示什么意思呢?

设备商:不知道,你上网查查。

病人上网一个月:好像不正常,有个阴影,但看不到细节。

设备商:买我个核磁共振吧。

病人:好的,果然有个黑洞洞的,莫非是结石?

设备商:买我个手术台吧。

以前没有按照医院模式构建网络安全产业,导致客户的学习成本巨高无比,很多大的企业不得不自己建立网络安全部门,高成本养专家,而且采购了大量贵重但无用设备。现在网络设备商没有客户懂网络安全,在客户那里也越来越没有话语权了。

这中间缺失的就是专家扁鹊!

未来网络安全产业会是专家牵头的医院模式,医院有几个特点:

1. 专家牵头,属于服务业

2. 设备成本客户们均摊,降低客户成本,降低整体社会成本

3. 大数据,服务客户越多的医院,越能培养出专家,优秀人才越多

其实医院挺像SaaS模式的。

现在好点的网络安全人才,年薪轻松到80-300万,企业编制、预算都有限,很难养真正的大专家,而且也没有必要养大专家。

过去20年,网络安全产业成就了设备商,未来则会推动一批以服务为中心的安全服务商,服务商配置好的专家,自带安全设备,去给甲方做服务,甲方不用花费巨大的学习成本,和不再花冤枉钱买一堆设备。

三、安保公司篇

安保公司有一个特点,就是地方化,区域化,实时化,有问题必须快速就地响应。

中国过去网络安全产业,这块几乎是空白。过去绝大部分企业都没有数据资产,也没有安保需求,但未来企业的数据资产越来越多越来越重要。以国企央企为例,算100家,你就会发现,这是一个垂直行业,再看看区域,分布在主要30个省份地区,一有安全问题,要1小时必须到现场的话,就必须每个省会城市有自己的安全服务企业,这就是一个100家乘以30个区域的需求,这就潜在蕴含3000家网络安保商的空白领域,这还只计算了100家央企,没有算政府各部委,没算地方国资企业,没算教育、医疗等行业。

这些安保商,需要自带安保设备去客户驻场,这些设备和消防器材不同,必须天天用,而且要求价格便宜,未来一个个小设备,专用设备,性价比高的安防设备商业会是一个机会。

更高层面,等这些安保商几千家都运营起来后,学习链家,搞个加盟品牌,统一服装,统一安服标准,再出几家安服品牌商也是一个机会。

四、镖行篇

随着“ 一带一路”快速推进,中国会投入一万亿美元,带动的资金会更多,中国企业会纷纷走出去,这就需要有人能够保驾护航了,包括对业务安全、数据安全、网络安全的护航。

以前我以为镖行主要是靠武林高手,后来回忆了一下《笑傲江湖》。

林振南对林平之说:“你想,福威镖局的镖车行走十省,倘若每一趟都得跟人家厮杀较量,哪有这许多性命去拚?就算每一趟都打胜仗,常言道:杀敌一千,自伤八百,镖师若有伤亡,单是给家属抚恤金,所收的镖银便不够使,咱们的家当还有甚么剩的?所以嘛,咱们吃镖行饭的,第一须得人头熟,手面宽,这‘交情’二字,倒比真刀真枪的功夫还要紧些。”

这才领会到干镖行主要是与人为善,也就是说,如果海外有关系,能够熟悉当地市场,那么这就是机会,毕竟国内安全人才还是有一大把的,机会在,人才就会来。

各行各业去海外几十上百个国家,这也是几百家安全企业的空缺领域。

五、求同存异,风口篇

上面几个行业类比,都有一个共同点,就是过去的行业缺乏关键几点:

1)高对抗

2)快响应

3)实战化

主要是因为以前安全责任没有负责人,丢失数据对国家安全影响大、对个人客户隐私影响大,但对企业自己影响不大,某互联网企业丢失了客户1.2亿条数据也没见被惩罚。

但未来不同了:

A)最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释:

第九条 网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正(例如不落实等级保护x级),致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法有下列情形之一的,对其直接负责的主管人员(CSO、CEO、法人)和其他直接责任人员处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

(1)致使违法信息大量传播的;

(2)致使用户信息泄露,造成严重后果的;

(3)致使刑事案件证据灭失,情节严重的;

(4)有其他严重情节的。

对于刑法相关规定中“情节严重”的认定标准,此次司法解释明确规定了十种情形,包括非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;

非法获取、出售或者提供前两项规定以外的公民个人信息五千条以上的;违法所得五千元以上的等。

司法解释同时规定,非法获取、出售或者提供相关类别公民个人信息“五百条以上”“五千条以上”“五万条以上”,或者违法所得五万元以上的,或具有“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”“造成重大经济损失或者恶劣社会影响”等情形的,属于“情节特别严重”。

也就是说,凡是互联网企业,或者有用户信息的企业,都必须真正去落实网络安全了,否则触犯刑法,后果很严重,这就让安全咨询、安全培训、安全测评、互联网企业安全集成公司有了一片空白领域和机会!

B)国家要求国资企业和政府,一把手网络安全责任制,并学习欧美,每年发动网络实际模拟对抗战,并对企业排名。

这就让以前的消防器材每年都拿来用用,把摆设变成真安全,以前无用的产品会被淘汰,那么这也是一个机会,如果谁能做出下一代更好的防火墙、NDR、EDR、蜜罐、反APT、云防御、新一代邮件网关…… 那么谁就会获得一个巨大的市场。

六、大风大风大风

技术变革会颠覆以前的产业,甚至整个产业链。未来技术变革至少有:

1)5G

2)IOT物联网

3)IPv6

4)AI人工智能

5)大数据

6)公有云、私有云

……

单说数据安全,往未来20年看,应该就是200亿以上的市场;IoT安全就更大了,往未来10年20年看,估计都是1000亿市场。做技术布局,有个前提,就是要耐得住寂寞,以前有个大佬给我说的,面对大势,人傻钱多的人能赢,能坚持并活到那一天。如果你选这个方向,先祝福你!

七、入土篇

有人说了,你吧啦吧啦吧啦这么多,怎么没说个人安全市场,这是更大的蓝海呀!

这就说来话长了,首先过去证明个人用户,没有太多安全需求,某公司十多年前就已经给上亿个人用户终端派驻了数字保安,也收不到钱,不得不让保安在用户门墙上做广告,给用户推荐理财贷款、推荐游戏等才做大,至今也没人为他的保安买单。

未来是否有人会为个人保安买单?或许有,但是,但是,已经有一个保安在终端里头了,俗话说一端不容二虎,如果你要去驻扎,我就只能为你烧香了,提前送上一首“凉凉”。

(来源:“神龙叫”公众号)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。